Unterstützung von dynamischen Compliance Prozessen durch Business Process Management Plattformen Daniel Burgwinkel Neuhausstrasse 30 CH-4057 Basel
[email protected]
Abstract: Die Einhaltung von gesetzlichen, regulatorischen und unternehmensinternen Richtlinien spielt insbesondere in der Pharmabranche und im Bankwesen eine wichtige Rolle. Bei der Einführung von Complianceprozessen können Business Process Managementsysteme eine wirksame Unterstützung bieten. Anhand von zwei Fallbeispielen wird analysiert, welche Faktoren die Dynamik der Complianceprozesse beeinflussen und welche Herausforderungen bei der Einführung von BPM-Systemen im Kontext Compliance bestehen.
1. Einleitung Die Umsetzung von neuen Compliance-Vorgaben stellt Unternehmen vor die Herausforderung ihre Geschäftsprozesse anzupassen und strenger zu kontrollieren. Gleichzeitig verändern sich Unternehmen dynamisch durch Reorganisationen, Übernahmen und Abspaltungen. Bei der Implementierung der Complianceprozesse können Business Process Managementsysteme die Umsetzung wirksam unterstützen. Am Beispiel von zwei ausgewählten Beispielen aus der Pharma- und Finanzbranche sollen die Anforderungen an Flexibilität und Dynamik der Prozesse untersucht werden.
2. Unterstützung der Compliance mit Hilfe von IT-Systemen Im Kontext Compliance und IT können folgende Themenbereiche unterschieden werden:
759
Compliance-Vorgabe
Ziel
Rolle von Business Process Management (BPM)
Gesetzliche Vorgaben und Regularien für Entwicklung und Betrieb von ITSystemen (z.B. GxP in der Pharmaindustrie)
IT-System entspricht gesetzlichen und regulatorischen Auflagen
BPM-System Vorgaben erfüllen
Compliance-Vorgabe für ausgewählte Geschäftsprozesse (z.B. Sunshine Act in der Pharmaindustrie)
Geschäftsprozess wird ordnungsgemäss ausgeführt und ist nachvollziehbar
Einsatz von BPM für Prozessautomatisierung und Umsetzung von Geschäftsregeln.
Vorgangssteuerung und Unterstützung der Mitarbeiter (HumanCentric Workflow)
Prozessdokumentation
Einsatz von BPM für Reviewund Genehmigungsworkflows, Nachvollziehbarkeit und Dokumentation
Unternehmensweites Compliance Management System
Alle Mitarbeiter handeln rechtskonform und ethisch
muss
Tabelle 1: Compliance-Vorgaben und Einfluss auf IT Systeme
2.1 Compliance-Vorgaben für Entwicklung und Betrieb von IT-Systemen Im Bereich der IT-Compliance muss eine Compliance-Vorgabe als Anforderung an ein IT-System umgesetzt werden [SW08]. So muss beispielsweise in der Pharmaindustrie das ausgewählte IT-System im Produktionsbereich die GxP (Good Manufacturing Practices) Kriterien erfüllen, u.a. Sicherheitsanforderungen an Login, Audittrail und Archivierung. Insbesondere für IT-Systeme, welche finanzielle Geschäftstransaktionen durchführen, besteht eine Vielzahl von gesetzlichen Auflagen. 2.2. Compliance-Vorgaben für Geschäftsprozesse Von der IT-Compliance zu unterscheiden sind ausgewählte Compliance-Vorgaben, welche als Geschäftsregeln (Businessrules) im IT-System abgebildet werden können. Verschieden Forschungsprojekte untersuchen Möglichkeiten und neue Ansätze bei der Umsetzung von Compliance-Vorgaben durch Business Rules [KF13].
760
Eine Compliance Vorgabe kann auch zu einer neuen Funktion führen, welches das ITSystem erbringen muss, z.B. durch eine neue Regulierung muss ein Bericht erstellt und an eine Behörde geliefert werden. Oder eine Compliance-Vorgabe erfordert, dass ein Geschäftsprozess in bestimmter Weise ausgeführt und die Aktivitäten dokumentiert werden, z.B. in der Finanzindustrie die Aufklärung eines Kunden über die Risiken eines Anlageproduktes. Ein Beispiel für eine neue Compliance Regel in der Pharmaindustrie ist die Vorschrift zum „Physician Financial Transparency Reports (Sunshine Act)“ [AMA13]. Pharmaunternehmen müssen in den USA alle finanziellen Transaktionen zu Medizinern in einem jährlichen Bericht an die Behörde liefern. Um diese neue Compliance-Vorgabe zu erfüllen, muss das Unternehmen analysieren, welche Geschäftsprozesse betroffen sind und welcher Änderungsbedarf besteht. Das Unternehmen muss die Finanz- und IT Systeme anpassen, um diesen neuen Bericht für Behörden zu erstellen. Falls die Compliance-Vorgabe die Einhaltung finanzieller Obergrenzen verlangt, müssen die Geschäftsprozesse so gestaltet werden, dass die Einhaltung sichergestellt ist. Zudem müssen Mitarbeiter geschult werden, um die neuen Vorgaben einzuhalten. 2.3 Prozessunterstützung in einem unternehmensweiten Compliance Management System Insbesondere globale Unternehmen haben interne Compliance-Organisationen aufgebaut und Compliance Management Systeme eingeführt, um die notwendigen Richtlinien einzuhalten und den Stakeholdern Rechenschaft abzulegen. Das Ziel eines Compliance Management Systems wird vom TÜV Rheinland wie folgt beschrieben „systematisch die Voraussetzungen in der Organisation dafür zu schaffen, dass Verstöße gegen ComplianceAnforderungen vermieden bzw. wesentlich erschwert und eingetretene Verstöße erkannt und behandelt werden können“ [TÜV11]. Im Rahmen eines unternehmensweiten Compliance Management Systems muss sichergestellt werden, dass sich Mitarbeiter rechtskonform und ethisch verhalten. Beispielsweise dokumentiert Siemens im öffentlich zugänglichen „Siemens Business Conduct Guidelines – Prinzipien und Regeln für das Verhalten aller Mitarbeiter“ das sich alle Mitarbeiter zu rechtmäßiges Verhalten, gegenseitiger Respekt, Ehrlichkeit und Integrität verpflichten und das das Unternehmen dies durch geeignete Maßnahmen sicherstellt [Si09]. Dies erfordert eine Umsetzung in den verschiedensten Geschäftsprozessen und IT-Systemen und den aktiven Einbezug der Mitarbeiter, wie z.B. bei der Korruptionsbekämpfung. Zudem kann es je nach Unternehmen dazu führen neue Prozesse und IT-Systeme einzuführen, wie z.B. E-Learningsysteme für das Compliance Training oder E-Discovery Systeme, welche die Nachforschungen im Fall von Rechtstreitigkeiten unterstützen.
761
3. Einsatz von BPM zur Unterstützung der Compliance Business Process Management Systeme kommen in vielen Unternehmen zum Einsatz und werden vom Verband EABPM definiert als „System aufeinander abgestimmter (interoperabler), spezialisierter IT-Anwendungen, die ein breites Spektrum aller notwendigen Funktionen zur Modellierung und Simulation, Analyse, Entwicklung und zum Betrieb von BPM-Lösungen unterstützen“ [EA09]. In verschiedenen Publikationen werden die Einsatzszenarien und Best-Practices von BPM erörtert [Ko11], [SN11]. Business Process Management Systeme können zur Sicherstellung der Compliance in verschiedenen Einsatzgebieten genutzt werden.
Fokus Prozessautomation: Einsatz einer BPM-Applikation zur Abbildung von Geschäftsregeln, welche auf Compliance Vorgaben beruhen. Geschäftsregeln (Business Rules) werden definiert als „interne oder extern gesetzte Richtlinien oder Vorschriften, die das Verhalten der Beteiligten in einem Unternehmen festlegen und damit Verhaltensspielräume einengen oder bestimmte Verhaltensweisen erzwingen“ [EA09]. Das Unternehmen kann den Nachweis der Compliance erbringen, indem es aufgezeigt, dass das IT-System anhand der definierten Regeln den Prozess unterstützt und das Risiko des Fehlverhalten eines Mitarbeiters minimiert.
Fokus Human-Centric Workflow / Case Management: Eine BPMApplikation kann zur generellen Prozessunterstützung der Mitarbeiter eingesetzt werden, z.B. Dokumente werden zur Genehmigung weitergeleitet und strukturiert in digitalen Akten abgelegt. Das System bietet den Nachweis, dass Geschäftsprozesse ordnungsgemäß durchgeführt worden, z.B. dass alle Genehmigungen erfolgt sind und die relevanten Informationen strukturiert abgelegt wurden.
Fokus Zusammenführung von Daten: Einsatz eines BPM-Systems zur Vernetzung von bisher isolierten Anwendungen, um Compliance Vorgaben zur erfüllen, z.B. einen Bericht über finanzielle Transaktionen zu generieren, welcher Daten aus verschiedenen Quellen zusammengeführt.
Insbesondere globale Organisation bauen unternehmensweite BPM-Plattformen auf, um die verschiedenen Anwendungsgebiete mit einer einheitlichen Technologie abzudecken. Folgende Abbildung zeigt ein Beispiel für den schematischen Aufbau einer Plattform auf der mehrere BPM-Systeme realisiert sind:
762
Abbildung 2: Beispiel einer unternehmensweiten BPM Plattform
4. Fallbeispiele 4.1 BPM in einem globales Pharmaunternehmen Als Beispiel für ein BPM-System, welches direkt Complianceprozesse unterstützt soll folgender Fall angeführt werden. Ein globales Pharmaunternehmen ist in mehr als 140 Ländern vertreten und beschäftigt über hunderttausend Mitarbeiter. Das Unternehmen ist mit verschiedenen Divisionen und Produktbereichen erfolgreich am Markt vertreten. Um ausgewählte Bereiche der Compliance zu unterstützen wurde eine globale BPMApplikation eingeführt, welche u.a. die Genehmigung von Marketingunterlagen und Veranstaltungen nach regulatorischen und ethischen Gesichtspunkten unterstützt [Bu12]. Diese BPM-Applikation kann als dynamisch und komplex bezeichnet werden. Basierend auf einem generischen Prozessmodell wurden die Genehmigungsprozesse definiert und für jede Geschäftseinheit in jedem Land konfiguriert. Da die Prozesse auf die rechtliche und organisatorische Situation jedes Landes und jeder Division angepasst werden mussten ergab sich eine erhöhte Komplexität. Durch interne Reorganisationen und die Marktdynamik, z.B. Kauf und Verkauf von Geschäftseinheiten,
müssen die Prozesse kontinuierlich angepasst werden. 4.2 BPM in einen globalen Finanzinstitut Für den Einsatz von human-centric Workflows auf Basis eines BPM System soll ein Beispiel aus dem Private Banking angeführt werden. Das BPM System unterstützt die Prozesse vom Kundenberater in der Bankfiliale zur Auftragsabwicklung im Backoffice.
763
Ausgewählte Prozesse unterstützen die Zusammenarbeit mit der internen Complianceabteilung. Obwohl in einer Bank viele Aufträge direkt in Transaktionssystem und Fachapplikationen eingegeben werden, besteht ein hoher Bedarf Aufträge zu bündeln und je nach Kundensegment durch verschiedene Geschäftseinheiten bearbeiten zu lassen, z.B. Aufträge von Geschäftskunden für Kreditkarten werden durch den Kundenberater erfasst, aber durch die Kreditkarteneinheit abgewickelt. In diesem Beispiel nutzen mehr als 10 Geschäftseinheiten aus verschiedenen Privat- und Geschäftskundensegmente jeweils bis zu 200 Prozesse. Neben direkten Complianceprozessen, z.B. Kundenüberprüfungen und Nachforschungen, stellt der human-centric Workflow sicher, dass ein Nachweis über die ordnungsgemäße Abwicklung der Aufträge erfolgt.
5. Dynamik und Komplexität der Compliance Prozesse Basierend auf den Erfahrungen bei der Einführung der beiden beschriebenen Systeme sollen im Folgenden die Anforderungen an die Komplexität und Dynamik der Prozesse beschrieben werden und Entscheidungshilfen für den Einsatz von BPM-Systemen im Bereich der Compliance hergeleitet werden. Um beurteilen zu können, ob in einem Unternehmen der Einsatz einer BPM-Plattform für die Compliance sinnvoll ist sollten folgende Aspekte analysiert werden. 5.1 Dynamik und Komplexität der Compliance-Vorgaben Folgende Fragestellungen helfen die Dynamik der Compliance-Vorgaben für das ausgewählte Gebiet einzuschätzen:
Um welche Compliance-Vorgaben handelt es sich und welche Stakeholder sind betroffen (Mitarbeiter, Partner, Kunden)? Welche der Stakeholder sind in den Prozess involviert und welche Aktivitäten müssen durchgeführt werden (z.B. Genehmigungsprozesse)?
Welche Objekte stehen im Mittelpunkt der Compliance-Vorgaben und wie soll der Nachweis der Compliance erbracht werden? Müssen Dokumente auf ihre Korrektheit überprüft werden oder muss abgeklärt werden, ob für einen Kunden bestimmte Produkte zulässig sind?
Wie sind die externen Compliance-Vorgaben in unternehmensinterne Richtlinien umgesetzt? Gibt es Richtlinien, welche Grundsätze auf abstraktem Level beschreiben und konkrete Arbeitsanweisungen (Standard Operating Procedures) für die Umsetzung? Können unternehmensintern globale Standards etabliert werden oder müssen für jedes Land eigene Vorgaben entwickelt werden?
Wie schnell ändern sich die Compliance-Vorgaben bzw. wie schnell müssen neue Compliance-Vorgaben global berücksichtigt werden? Oft tritt der Fall ein, dass
764
Regulierungen eines Landes, z.B. USA, von anderen Ländern in ähnlicher Art und Weise übernommen werden.
Gibt es Abhängigkeiten zu anderen Compliance-Vorgaben die berücksichtigt werden müssen, z.B. Datenschutzrechte von Kunden, rechtliche Vorgaben bzgl. Standort der Datenhaltung?
5.2 Dynamik und Komplexität der Geschäftsprozesse und IT-Systeme Die Geschwindigkeit bei der Umsetzung der Compliance-Vorgaben wird massgeblich durch die Dynamik und Komplexität der Geschäftsprozesse und dem Aufwand für die Anpassung der IT-Systeme beeinflusst. Bei den Geschäftsprozessen treibt die Anzahl und der Änderungsbedarf der durch die Compliancevorgabe betroffenen Prozesse die Komplexität. Bei den IT-Systemen ist die Anzahl und und Änderungsbedarf der betroffenen Applikationen massgeblich. Folgende Analysepunkte helfen den Aufwand abzuschätzen:
Welche Geschäftsprozesse und IT-Systeme sind von den Compliance-Vorgaben betroffen? Compliance Vorgaben können für spezifische Prozesse bestehen (z.B. Wertpapierhandelsgesetz) als auch unternehmensweite Gültigkeit haben (z.B. ethisches Verhalten der Mitarbeiter).
Welcher Änderungsbedarf für Geschäftsprozesse besteht bzw. müssen neue Prozesse eingeführt werden? Welchen neuen funktionalen Anforderungen werden an die Applikation gestellt?
Ist nur eine Fachapplikation von den Compliance-Vorgaben betroffen oder mehrere Applikationen, bzw. ein End-to-Endprozess?
Ist für das Einsatzgebiet eine globale IT-Lösung für alle Länder im Einsatz oder gibt es länderspezifische Lösungen?
Welche Anforderungen bezüglich Projektvorgehen, Validierung der IT-Systeme und Standards für Dokumentenaufbewahrung werden gestellt, z.B. Branchenstandards oder Standards für Aktenmanagement in der öffentlichen Verwaltung.
Sind cloudbasierte Fachanwendungen betroffen oder werden cloudbasierte Lösungen für die Erfüllung der Compliance-Vorgaben eingesetzt? In der Pharmabranche konnten sich in den letzten Jahren cloudbasierte Dienste erfolgreich etablieren. Obwohl in der Pharmaindustrie hohe Anforderungen bestehen konnten sich spezialisierte Anbieter erfolgreich am Markt etablieren. Ein Cloudanbieter gibt an, für den Reviewprozess von Dokumenten mehr als 40000 Nutzer aus 120 Pharmafirmen in 170 Länder erreicht zur haben [Zi14].
Sind von den Compliance-Vorgaben Informationen betroffen die auf Mobilgeräten bzw. Tablets (z.B. für Vertriebsmitarbeiter) verarbeitet werden?
765
Müssen in diesem Bereich besondere Maßnahmen bzgl. Sicherheut und Datenschutz getroffen werden? Je nach Unternehmen und Compliance-Vorgaben gibt es unterschiedlichen Szenarien. In einem Szenario kann es zu Genehmigungsprozessen in unterschiedlichen Prozessen und IT-Systemen führen, welches die Anpassung der jeweiligen Applikation erfordert. In anderen Szenarien kann eine zentrale BPM Plattform unterstützen, falls die Prozesse neu eingeführt werden müssen und durch eine Applikation unterstützt werden können. 5.3 Dynamik und Komplexität der Organisation und nationale Gesetzgebung Werden in einer globalen Organisation Complianceprozesse eingeführt, stellt sich die Frage, wie das System die Anforderungen der Ländergesellschaften abdecken kann.
Kann in allen Ländereinheiten der identische Prozess eingeführt werden oder muss pro Land eine Anpassung der Prozesse erfolgen bzw. müssen die Prozesse nach Herkunftsland des Kunden differenziert werden? Falls eine Anpassung notwendig ist, sind es Änderungen in der Abfolge der Approvals oder spezielle Prozesse für Ausnahmeregeln?
Müssen pro Land spezielle Hinweise den Mitarbeitern gegeben werden (z.B. Verweise auf lokale Gesetze bzw. Hinweis in der Landessprache erfolgen)?
Sind in den Ländern spezielle Trainings für Mitarbeiter vorgeschrieben, welche vor der Durchführung des Prozesses erfolgen müssen? Wie und wo wird der Nachweis über das Training der Mitarbeiter dokumentiert?
Sind alle Ländergesellschaften identisch strukturiert (Aufbau und Rollen) oder sind in ausgewählten Ländern bestimmte Rollen nicht vorhanden?
Sind ausgewählte Ländern zu Länderclustern zusammengefasst, so dass Anpassungen der Prozesse und Rollen notwendig sind? Die Prozesse müssen sowohl für Länder mit hoher Anzahl von Mitarbeitern als auch für Ländern mit geringen Mitarbeiteranzahl umgesetzt werden. So wird beispielsweise die Komplexität erhöht, falls kleinere Länder in aufstrebenden Märkten zu Clustern zusammengefasst sind.
Sind ausgewählten Ländern spezielle Organisationsstrukturen, z.B. JointVentures vorhanden?
In einem statischen Szenario kann ein einheitlicher Genehmigungsprozess top-down in alle Länder eingeführt werden. In einem dynamischen Szenario muss für jedes Land die Reihenfolge der Rollen für die Genehmiger festgelegt werden, um auf die rechtlichen Rahmenbedingungen und die Ressourcensituation des Landes einzugehen.
766
6. Fazit Der Einsatz von BPM zur Abbildung von Geschäftsregeln, welche Compliance Anforderungen umsetzen, ist ein verbreitetes Einsatzgebiet. Meist sind ausgewählte Prozesse und Compliance-Vorgaben betroffen. Insbesondere große Unternehmen sind aufgefordert unternehmensweite Compliance Management Systeme einzuführen und den Nachweis über die Einhaltung der Compliance zu erbringen. Hierdurch entsteht der Bedarf Entscheidungen und Genehmigungsprozesse im Unternehmen zu strukturieren und zu dokumentieren. BPM Applikationen können hier eine wirkungsvolle Unterstützung leisten. Die angeführten Beispiele zeigen, dass besonders für global agierende Unternehmen die Komplexität der Umsetzung durch die Dynamik der Complianceprozesse beeinflusst wird. Für den zukünftigen Einsatz von BPM im Anwendungsgebiet Compliance stellt sich die Frage, wie Unternehmen ein organisatorisches Compliance Management System einführen können und welche Unterstützung das Prozessmanagement hierbei spielen kann.
Literaturverzeichnis [AMA13] American Medical Association: Physician Financial Transparency Reports (Sunshine Act). http://www.ama-assn.org/ama/pub/advocacy/topics/sunshine-act-andphysician-financial-transparency-reports.page. [Bu12] Burgwinkel, D.: Success factors for global rollout of BPM applications, Zürich, 2012. [EA09] EABPM: Business Process Management Common Body of Knowledge – bpm cbok Leitfaden für das Prozessmanagement. Verlag Dr. Götz Schmidt, Giessen, 2009. [KF13] Koetter, F. et al.:Unifying Compliance Management in Adaptive Environments through Variability Descriptors, 2013. [Ko11] Komus, A.: BPM Best Practice. Springer Berlin Heidelberg, 2011. [Si09] Siemens: Siemens Business Conduct Guidelines – Prinzipien und Regeln für das Verhalten aller Mitarbeiter. http://www.siemens.com/sustainability/pool/crframework/business\_conduct\_guidelines\_d.pdf. [SN11] Slama, D.; Nelius, R.: Enterprise BPM: Erfolgsrezepte für unternehmensweites Prozessmanagement. dpunkt.verlag, 2011. [SW08] Strasser, A.; Wittek, M.: IT-Compliance. https://www.gi.de/service/informatiklexikon/detailansicht/article/itcompliance.html. [TÜV11] TÜV Rheinland Systeme.
TÜV: TR CMS 101 2011 - Standard für Compliance Management
[Zi14] Zincahead: Zinc Homepage. http://www.zinc-ahead.com, 3.05.2014.
767
